Bülten No
Son güncelleme:
2 Ağu 2023
Adobe ColdFusion için güvenlik güncellemeleri | APSB23-40
|
|
Yayınlandığı Tarih |
Öncelik |
|
APSB23-40 |
11 Temmuz 2023 |
1 |
Özet
Adobe, ColdFusion 2023, 2021 ve 2018 sürümleri için güvenlik güncellemeleri yayınladı. Bu güncelleme, rastgele kod yürütülmesine ve güvenlik özelliği sızıntısına yol açabilecek kritik ve önemli güvenlik açıklarını giderir.
Adobe, CVE-2023-29298'ın Adobe ColdFusion’ı hedef alan sınırlı saldırılarda vahşi ortamda ihlal edildiğinin farkındadır.
Etkilenen Sürümler
|
Ürün |
Güncelleme numarası |
Platform |
|
ColdFusion 2018 |
Güncelleme 16 ve önceki sürümler |
Tümü |
|
ColdFusion 2021 |
6 ve daha önceki sürümleri güncelle |
Tümü |
|
ColdFusion 2023 |
GA Sürümü (2023.0.0.330468) |
Tümü |
Çözüm
Adobe, bu güncellemeleri aşağıdaki öncelik derecelendirmelerine göre sınıflandırır ve kullanıcıların yüklemelerini en yeni sürümlere güncellemelerini önerir:
|
Ürün |
Güncel sürüm |
Platform |
Öncelik derecelendirmesi |
Bulunma Durumu |
|---|---|---|---|---|
|
ColdFusion 2018 |
Güncelleme 17 |
Tümü |
1 |
|
|
ColdFusion 2021 |
Güncelleme 7 |
Tümü |
1 |
|
|
ColdFusion 2023 |
Güncelleme 1 |
Tümü |
1 |
Not:
Adobe, ColdFusion JDK/JRE LTS sürümünüzü en son güncelleme sürümüne güncellemenizi önerir. Desteklenen JDK sürümünüz için ColdFusion destek matrisini kontrol edin
ColdFusion güncellemesini ilgili JDK güncellemesiyle uygulamamak sunucu güvenliğini SAĞLAMAZ. Daha fazla ayrıntı için ilgili Teknik Notlara bakın.
Ayrıca Adobe, müşterilerin güvenlik yapılandırma ayarlarını ColdFusion Güvenlik sayfasında belirtilen şekilde uygulamalarını ve ilgili Kilitleme kılavuzlarını gözden geçirmelerini önerir.
Güvenlik Açığı Detayları
|
Güvenlik Açığı Kategorisi |
Güvenlik Açığı Etkisi |
Önem Derecesi |
CVSS baz skoru |
CVE Numaraları |
|
|
Uygunsuz Erişim Kontrolü (CWE-284) |
Güvenlik özelliği atlatması |
Kritik |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29298 |
|
Güvenilmeyen Verilerin seri durumundan çıkarılması(CWE-502) |
Rastgele kod yürütme |
Kritik |
9.8 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-29300 |
|
Aşırı Kimlik Doğrulama Girişimlerinin Uygunsuz Kısıtlanması (CWE-307) |
Güvenlik özelliği atlatması |
Önemli |
5.9 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-29301 |
Teşekkür
Adobe, ilgili sorunları bildirdikleri ve müşterilerimizi korumaya yardımcı olmak üzere Adobe ile birlikte çalıştıkları için aşağıdaki kişilere teşekkür eder:
- Stephen Fewer - CVE-2023-29298
- Nicolas Zilio (CrowdStrike) - CVE-2023-29300
- Brian Reilly - CVE-2023-29301
NOT: Adobe'nin HackerOne ile özel, yalnızca davetlilere açık, hata ödül programı vardır. Adobe ile harici bir güvenlik araştırmacısı olarak çalışmakla ilgileniyorsanız lütfen sonraki adımlar için bu formu doldurun.
ColdFusion JDK Gerekliliği
COLDFUSION 2023 (sürüm 2023.0.0.330468) ve üzeri
Uygulama Sunucuları için
JEE kurulumlarında, aşağıdaki JVM uyarısını ayarlayın, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: 'Catalina.bat/sh' dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: 'startWeblogic.cmd' dosyasında JAVA_OPTIONS'u düzenleyin
WildFly/EAP Uygulama Sunucusu: 'standalone.conf' dosyasında JAVA_OPTS'u düzenleyin
JVM uyarılarını ColdFusion'ın JEE kurulumunda ayarlayın, bağımsız bir kurulumda değil.
COLDFUSION 2021 (Sürümü 2021.0.0.323925) ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
COLDFUSION 2018 HF1 ve üzeri
Uygulama Sunucuları İçin
JEE yüklemelerinde aşağıdaki JVM flag, "-Djdk.serialFilter= !org.mozilla.**;!com.sun.syndication.**;!org.apache.commons.beanutils.**; !org.jgroups.**", kullanılan Uygulama Sunucusu’nun türüne göre belirli başlangıç dosyasında.
Örneğin:
Apache Tomcat Uygulama Sunucusu: ‘Catalina.bat/sh’ dosyasında JAVA_OPTS'u düzenleyin
WebLogic Uygulama Sunucusu: ‘startWeblogic.cmd’ dosyasında JAVA_OPTIONS'ı düzenleyin
WildFly/EAP Uygulama Sunucusu: ‘standalone.conf’ dosyasında JAVA_OPTS'u düzenleyin
ColdFusion JEE kurulumunda (tekli kurulumda değil) JVM bayraklarını ayarlayın.
Değişiklikler
19 Temmuz 2023
- Özet paragrafı, Adobe'nin CVE-2023-29298'in Adobe ColdFusion'ı hedef alan sınırlı saldırılarda ihlal edildiğinin farkında olduğunu belirtecek şekilde güncellenmiştir.
Daha fazla bilgi için https://helpx.adobe.com/tr/security.html adresini ziyaret edin veya PSIRT@adobe.com adresine e-posta gönderin
